Cisco Systems confirma invasão de seus sistemas pelo grupo Yanluowang

A Cisco Systems confirmou que, no final de maio, sua rede corporativa foi atacada por hackers que distribuíam o ransomware Yanluowang. Note-se que os invasores conseguiram roubar dados não confidenciais associados a uma conta comprometida de um dos funcionários.

Fonte da imagem: Bleep Computer

«No final de maio de 2022, ocorreu um incidente de segurança na rede corporativa da Cisco Systems e imediatamente tomamos medidas para conter e bloquear invasores. Este incidente não afetou os negócios da empresa, incluindo produtos e serviços, dados confidenciais de clientes e funcionários, propriedade intelectual e operações da cadeia de suprimentos”, comentou a Cisco Systems sobre esta questão.

Segundo a fonte, os invasores conseguiram acessar a rede interna da Cisco Systems depois de conseguirem invadir a conta do Google de um dos funcionários. Por meio de engano, eles conseguiram convencer a vítima a aceitar a notificação push de autenticação multifator, o que resultou no acesso à VPN no contexto do usuário-alvo. Depois de se infiltrar na rede da Cisco Systems, os invasores comprometeram vários servidores Citrix e obtiveram acesso privilegiado aos controladores de domínio. Tendo obtido direitos de administrador de domínio, eles coletaram dados e carregaram software malicioso, incluindo um backdoor, em sistemas comprometidos.

Por fim, os especialistas da Cisco Systems descobriram a presença de invasores na rede interna, após o que foram bloqueados. Note-se que ao longo das próximas semanas, os hackers não deixaram tentativas de restaurar o acesso aos sistemas da Cisco Systems. Ao mesmo tempo, a empresa não encontrou nenhum sinal de que hackers tenham carregado software de criptografia de dados para a rede em sistemas comprometidos.

É curioso que, há alguns dias, um dos participantes do ataque à Cisco Systems entrou em contato com o portal BleepingComputer e forneceu evidências de que hackers conseguiram roubar dados valiosos. Ele disse que cerca de 2,75 GB de dados (aproximadamente 3.100 arquivos) foram roubados durante o ataque, muitos dos quais eram acordos de confidencialidade, despejos de dados e desenhos de engenharia.